solution-erp/docs/changelog/sessions/2026-06-08-S54-it-ticket-reassign-cross-stack.md

Session 54 — IT staff tự reassign ticket (cross-stack authz)

Date: 2026-06-08 Mode: HMW-mode ON · 6-agent fan-out (Agent-tool spawn, sequential-gated) Commit: ca4b602 → Gitea Run #376 PASS ~4m18s · prod-verified Test: 203 → 216 PASS (58 Domain + 158 Infra · +13) Bundle: admin DfCfHUE9→DmjI8Cmn · user _3S0BPJ2→YxL_MljK (cả 2 rotate) Migration: giữ 47 (NO new — DepartmentId reuse)

---

Bối cảnh

Anh /session-start → chọn (qua AskUserQuestion) "2 xong sau đó là 1" = task 2 (mirror ItTicket reassign → fe-user) trước, task 1 (Phase 9 Ops) sau. Task 2 done + prod-verified → anh /session-end (task 1 chưa khởi động, anh dừng).

Decision chính (em main — KHÔNG mirror mù)

Recon phát hiện reassign-UI S53 (fe-admin only) gọi PUT /assign ([Authorize(Roles="Admin")]) + GET /users ([Authorize(Policy="Users.Read")]) — cả 2 Admin-only. Mirror mù sang fe-user = tái tạo gotcha #44 (silent 403): nhân viên thường bấm nút → 403 câm.

→ AskUserQuestion: "ai được reassign trên fe-user?" → anh chốt "Tổ IT tự đổi (cross-stack, đứng-đắn)". Persona = nhân viên dept-IT (S52 seed nv.cao/nv.truong) tự đổi tay xử lý trong tổ → phải nới BE authz, không chỉ sửa FE.

Design (em main)

• Authz model: canReassign = caller là Admin HOẶC caller.DepartmentId == Department(Code=="IT").Id. Assignee bắt buộc thuộc tổ IT đang active.
• Predicate IT: reuse round-robin S52 verbatim db.Departments.Where(d => d.Code=="IT" && !d.IsDeleted).
• ICurrentUser không có DepartmentId → handler query db.Users.Where(Id==cu.UserId).Select(DepartmentId).
• Gate nút FE (chống gotcha #44): thêm capability endpoint GET /it-tickets/assignable-staff trả { canReassign: bool, staff: [{id,fullName}] } — BE tính 1 lần, FE đọc flag. [Authorize] any-auth → KHÔNG bao giờ 403 → 0 console noise. Người ngoài → {false, []} (0 leak). BE handler /assign mới là cửa bảo mật thật (defense-in-depth).
• Bonus: siết assignee phải thuộc IT (handler cũ cho gán bất kỳ user — looseness âm thầm) → khớp dropdown scoped. Cả 2 app hội tụ SHA256-identical lại (reverse divergence S53).

Phân rã (6-agent)

Agent	Việc	Kết quả
🟨 implementer-backend	GetAssignableItStaffQuery + AssignItTicketHandler authz + controller 2 endpoint	build 0/0, DTO contract confirmed
🟧 implementer-frontend	2 app ItTicketsPage.tsx + types	npm ×2 PASS, SHA256 4bcaf2f…
🟪 test-specialist	ItTicketReassignAuthzTests.cs 13 case	203→216, 0 fail, no prod bug
🟥 reviewer	adversarial pre-commit (authz security)	PASS 0 blocker · role-string "Admin" chain-verified
🟩 cicd-monitor	post-deploy Run #376	PASS bundle rotate + smoke + Mig 47
👤 em main	design + recon + commit + residual reconcile	—

BE ∥ FE parallel (file-disjoint, contract chốt) → test (cần BE compiled) → reviewer → cicd.

reviewer — điểm chí mạng

Verify role-string "Admin" THẬT (gotcha #44 bài học decoy "QTV"): chain trace AppRoles.Admin="Admin" → SeedRolesAsync Role.Name="Admin" → Identity GetRolesAsync trả Name → JwtTokenService Claim(ClaimTypes.Role) → CurrentUserService FindAll(ClaimTypes.Role) → cu.Roles.Contains("Admin") đúng. "QTV" chỉ là ShortName display (RoleLabels), không vào JWT. No RoleClaimType override. Guard không thủng, fail-closed (itDeptId null → non-admin bị chặn, admin vẫn qua).

Residual event (em main single-writer containment)

3 agent (BE/FE/test) ghi MEMORY.md nhầm src/Backend/.claude/agent-memory/ (cwd-relative Write khi cd vào src/Backend cho build) → stray dir + canonical thiếu S54 delta. Em main:

1. git status bắt ?? src/Backend/.claude/ + nghi (BE/FE/test MEMORY không hiện modified ở canonical).
2. Inspect stray = 2 pattern file viết tốt (BE) + stub index.
3. Reconcile: move 2 pattern file → canonical .claude/agent-memory/implementer-backend/ + rm -rf src/Backend/.claude.
4. Harvest delta (B2/B3): APPEND S54 activity entry vào 3 canonical MEMORY (implementer-backend + implementer-frontend + test-specialist) từ return-message của agent (write mis-landed → em main proxy).

→ memory feedback_agent_cwd_relative_memory_misland (mở rộng feedback_monitor_residual_write_containment + feedback_session_end_memory_write_verify).

cicd Run #376 — evidence

• Run #376 (run_number 262) · ca4b602 · success · ~4m18s.
• Test gate 216 PASS (CI both projects trước build).
• Bundle admin DfCfHUE9→DmjI8Cmn / user _3S0BPJ2→YxL_MljK (verified AFTER status=success).
• Smoke: /health/{live,ready} 200/200 · GET /assignable-staff 401 · PUT /assign 401 (body) · FE roots 200/200.
• Migration prod top = Mig 47, giữ nguyên. Control /it-tickets/zzz = 404 (chứng minh 401 là auth gate thật).
• Note (documented): PUT/POST bodyless smoke → IIS trả 411 Length Required TRƯỚC [Authorize] (pre-auth Content-Length check) → dùng -d '{}' để thấy 401 thật. Lặp lại #364/#367.

Files changed

Production (6):

• src/Backend/SolutionErp.Application/Office/WorkflowAppsFeatures.cs — REGION 5: +GetAssignableItStaffQuery/Handler/AssignableStaffResult/AssignableStaffDto; AssignItTicketHandler +authz +assignee-IT-check.
• src/Backend/SolutionErp.Api/Controllers/ItTicketsController.cs — /assign hạ Authorize + NEW GET /assignable-staff.
• fe-{admin,user}/src/pages/office/ItTicketsPage.tsx — SHA256-identical reassign.
• fe-{admin,user}/src/types/workflowApps.ts — +2 type.

Test (1): tests/SolutionErp.Infrastructure.Tests/Application/ItTicketReassignAuthzTests.cs (13 case).

Agent-memory (6): implementer-backend MEMORY + 2 pattern file (reconciled từ stray), implementer-frontend MEMORY, test-specialist MEMORY, reviewer MEMORY.

Defer / NEXT

• Task 1 Phase 9 Ops (anh dừng S54): SMTP email outbound (code-able) · SQL backup register (command-ready) · creds + UAT (anh-infra). Detail trong HANDOFF.
• flag monthly audit 2026-07-01: cicd sys.tables=93 vs STATUS 92 (1-count drift, pre-existing).
• Optional: pre-existing types/workflowApps.ts 2-app divergence (fe-admin có AttendanceReportDto/fe-user thiếu — không từ S54).